Das Active Directory (AD)-Diagnosetool ist ein PowerShell-Skript, mit dem Sie Probleme bei der AD-Einrichtung mit Ihrer lokalen Domain und Cloud SQL for SQL Server-Instanzen in Google Cloudbeheben können.
Das Tool führt verschiedene Prüfungen auf Probleme durch, z.0B. geschlossene Ports, FQDN-Suchvorgänge und DNS-Probleme. Sie wird auf einer lokalen Windows-VM ausgeführt, die einer der Domaincontroller für Ihre lokale Domain ist.
Auf dieser Seite wird beschrieben, wie Sie das Active Directory-Diagnosetool für Cloud SQL verwenden, und es werden die Prüfungen erläutert, die das Tool durchführt.
Vorbereitung
Prüfen Sie, ob die folgenden Komponenten eingerichtet sind, bevor Sie das AD-Diagnosetool verwenden:
- Eine lokale Domain mit aktivierter AD.
- Eine Managed AD-Domain in der Google Cloud -Konsole.
- Eine Cloud SQL for SQL Server-Instanz, die mit der Managed AD-Domain verbunden ist.
AD-Diagnosetool verwenden
So verwenden Sie das AD-Diagnosetool:
- Melden Sie sich bei einem der lokalen Domaincontroller oder einer VM an, die mit der lokalen Domain verbunden ist.
- Laden Sie das Skript
diagnose_ad.ps1auf die VM herunter. - Starten Sie PowerShell als Administrator.
Führen Sie das Skript
diagnose_ad.ps1im PowerShell-Fenster mit dem folgenden Befehl aus.powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Geben Sie die folgenden Informationen ein, wenn Sie dazu aufgefordert werden:
- Lokaler Domainname, z. B.
my-onprem-domain.com - Managed AD-Domainname, z. B.
my-ad-domain.com - Liste der Active Directory-FQDNs und privaten IP-Adressen von SQL Server. Diese Liste ist in der Google Cloud Console auf der Seite Übersicht der Instanz verfügbar.
- Lokaler Domainname, z. B.
Das Tool führt dann eine Reihe von Prüfungen durch, wie im Abschnitt Vom AD-Diagnosetool durchgeführte Prüfungen beschrieben.
Vom AD-Diagnosetool durchgeführte Prüfungen
| Häkchen | Beschreibung | Hinweise und Empfehlungen |
|---|---|---|
| Verfügbare Domaincontroller | Sendet einen Ping an die IP-Adresse jedes Domaincontrollers in der lokalen Domain, um sicherzustellen, dass sie erreichbar sind. | Die verbleibenden Prüfungen werden für die erreichbaren IP-Adressen durchgeführt. Wenn diese Prüfung fehlschlägt, prüfen Sie, ob eine Netzwerkverbindung zu den verbleibenden lokalen Domaincontrollern besteht. Weitere Informationen finden Sie unter Netzwerkinfrastruktur erstellen. |
| Ports | Prüft, ob alle erforderlichen TCP- und UDP-Ports für AD auf allen lokalen Domaincontrollern geöffnet sind. | Diese Prüfung gibt für den RPC-Portbereich (49152–65535) einen Warnstatus zurück, da keine konsistente Liste offener Ports vorhanden ist. Wir empfehlen, zu prüfen, ob eine Firewallregel zum Zulassen dieses Bereichs festgelegt ist. Weitere Informationen finden Sie unter Firewallports öffnen. |
| DNS-Server | Prüft, ob AD fehlerfrei und fehlertolerant eingerichtet ist. | Diese Prüfung gibt eine Warnung zurück, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen, AD so einzurichten, dass es fehlertolerant ist, indem Sie primäre und sekundäre DNS-Server festlegen. |
| FQDN (Managed AD-Domain) | Führt einen nslookup für den von Ihnen angegebenen Managed AD-Domainnamen aus. | Bei dieser Prüfung wird geprüft, ob die Managed AD-Domain über den lokalen Domaincontroller erreichbar ist. Wenn ein Fehler auftritt, versuchen Sie, eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) herzustellen. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| FQDN (SQL Server) | Führt einen nslookup für die von Ihnen angegebenen SQL Server-FQDNs aus. | Mit dieser Prüfung wird geprüft, ob Ihre Instanz über den lokalen Domaincontroller erreichbar ist. Wenn ein Fehler auftritt, versuchen Sie, eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) herzustellen. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| DC-Replikation | Es wird nach AD-Replikationsfehlern zwischen den lokalen Domaincontrollern gesucht. | Wenn das Skript auf einer lokalen Domain ausgeführt wird, die einer VM beitritt, schlägt der Status „Fehlgeschlagen“ fehl, wenn Powershell nicht als Active Directory-Domainnutzer ausgeführt wird. Wenn diese Prüfung fehlschlägt, führen Sie die Schritte unter Installation testen aus. |
| DNS-Weiterleitung | Es wird nach einer Konfiguration für die bedingte DNS-Weiterleitung auf den lokalen Domaincontrollern gesucht, die erforderlich ist, um Anfragen von lokalen Domaincontrollern an Managed AD-Domaincontroller weiterzuleiten. | Diese Prüfung kann fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen das Konfigurieren bedingter DNS-Forwarder. |
| Trust-Einrichtung | Überprüft, ob die AD-Vertrauensstellung zwischen der lokalen Domain und der Managed AD-Domain eingerichtet ist. | Bei dieser Prüfung wird überprüft, ob die AD-Vertrauensstellung zwischen der lokalen und der Managed AD-Domain eingerichtet ist. Wir empfehlen, eine Vertrauensstellung zwischen Ihrer lokalen Domain und Ihrer Managed Microsoft AD-Domain zu erstellen. Weitere Informationen finden Sie unter Vertrauensstellung einrichten |
| Lokale Sicherheitsrichtlinie |
Prüft, ob die Konfiguration der lokalen Sicherheitsrichtlinie Network access: Named pipes that can be accessed anonymously festgelegt wurde.
Sie benötigen diese Prüfung, um eine AD-Vertrauensstellung zu erstellen.
|
Diese Prüfung wird wahrscheinlich fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Für diesen Check müssen Sie PowerShell als Administrator ausführen, um die Einstellungen der lokalen Sicherheitsrichtlinie zu prüfen. Im Falle eines Fehlers empfehlen wir, die lokale Sicherheitsrichtlinie für Ihre lokale Domain zu prüfen. |
| Name-Suffix-Routing | Prüft, ob das Namenssuffixrouting zur Managed AD-Domain auf dem lokalen Domaincontroller aktiviert ist. Diese Prüfung ist erforderlich, um Anfragen von einer lokalen Gesamtstruktur an eine Managed AD-Gesamtstruktur weiterzuleiten. | Für diese Prüfung müssen Sie PowerShell als Administrator ausführen, um die Einstellungen für das Name-Suffix-Routing zu prüfen. Im Falle eines Fehlers empfehlen wir, das Namenssuffixrouting für die lokale Vertrauensstellung zu aktualisieren. |
| Kerberos-Ticket für die lokale Domain | Prüft, ob die Kerberos-Authentifizierung in der lokalen Domain aktiviert ist. Es wird nach einem vorhandenen Kerberos-Ticket für die lokale Domain gesucht. Wenn kein Ticket gefunden wird, wird versucht, ein neues zu generieren. | Bei dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für den lokalen DC zu finden. Wenn das fehlschlägt, wird versucht, ein neues Ticket als Validierung zu generieren. Fehler bei anderen Prüfungen können zu einem Fehler bei dieser Prüfung führen. Wenn Sie Fehler bei anderen Prüfungen beheben, sollte auch ein Fehler für diese Prüfung behoben werden. |
| Kerberos-Ticket für SQL Server |
Prüft, ob die Kerberos-Authentifizierung in der lokalen Domain aktiviert ist. Es wird nach einem vorhandenen Kerberos-Ticket für jeden von Ihnen angegebenen Namen eines SQL-Server-Diensthauptkontos (SPN, Service Principal Name) gesucht. Der SPN für SQL Server ist MSSQLSvc/{SQL Server FQDN}:1433. Wenn das Abrufen eines Tickets für den SPN fehlschlägt, prüft Cloud SQL, ob der Windows-Registry-Wert für das Zulassen von IP-Adressen in Hostnamen festgelegt ist. Wenn sie festgelegt ist, versuchen Sie, ein Ticket mit der SPN MSSQLSvc/{SQL Server IP}:1433 zu erhalten.Weitere Informationen zu finden Sie in der Microsoft-Dokumentation. |
Bei dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für SQL Server zu finden. Wenn das fehlschlägt, wird versucht, ein neues Ticket als Validierung zu generieren. Fehler bei anderen Prüfungen können zu einem Fehler bei dieser Prüfung führen. Wenn Sie Fehler bei anderen Prüfungen beheben, sollte auch ein Fehler für diese Prüfung behoben werden. |
Weitere Informationen
- GitHub-Probleme können Sie nutzen, um Feedback zu geben.